基于主机异常行为的分布式恶意代码检测技术研究

论文摘要

近年来,恶意代码如病毒、蠕虫和木马等在网络上的传播活动日趋频繁,所采用的技术手段也不断发展变化,从而使得正常的网络应用面临极大的安全威胁,在主机或网络上部署恶意代码检测技术是降低这种安全威胁的一种有效措施。目前广泛应用的恶意代码检测技术,主要是以病毒防护软件为代表的基于实体特征码的恶意代码检测技术和以网络入侵检测系统为代表的基于攻击行为特征模式匹配的恶意代码检测技术。两种检测技术对于未知的恶意代码或者经过变形、多态和加壳等技术处理之后的恶意代码缺乏较好的检测能力,漏报率较高。本文在对已有的检测技术进行深入分析研究的基础上,针对当前检测技术存在的不足,提出了一种基于主机异常行为的分布式恶意代码检测方法。论文的主要工作有:1.深入研究了恶意代码及相关检测技术,在分析基于主机和基于网络的恶意代码检测技术及其优缺点基础上,提出了基于主机异常行为的分布式恶意代码检测模型。模型的主要思想是:当基于主机的恶意代码检测方法无法对某种行为做出判断时,则将其提交到分布式检测网络中进行二次检测。2.提出了基于主机异常行为的分布式恶意代码检测算法,包括主动传播式恶意代码检测算法和非主动传播式恶意代码检测算法。3.提出传播路径重构的策略,对经过分布式检测方法处理后仍不能得出恶意性的异常行为的传播路径进行重构,然后提交给用户,为用户的进一步判断提供技术支撑。4.在NS-2环境下对基于主机异常行为的分布式恶意代码检测算法进行了仿真测试,结果表明文中方法有一定的有效性,同时重构传播路径方法的提出可以进一步降低恶意代码检测的漏报率。从仿真实验结果看,算法具有一定的有效性,为恶意代码检测技术的发展提供了研究思路,具有较好的理论参考意义和工程实践价值。论文的部分成果已在军队某国防预研项目中得到应用。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 课题研究背景

1.2 恶意代码检测技术研究现状

1.3 本文主要内容

1.4 本文组织结构

1.5 本文研究成果

第二章恶意代码相关研究

2.1 恶意代码基础

2.1.1 僵尸网络

2.1.2 病毒

2.1.3 木马

2.1.4 蠕虫

2.1.5 后门程序（Backdoor）

2.1.6 间谍软件（Spyware）

2.1.7 逻辑炸弹（Logic Bomb）

2.2 恶意代码检测技术

2.2.1 完整性校验技术

2.2.2 实体特征码检测技术

2.2.3 虚拟机技术

2.2.4 基于行为分析的检测技术

2.3 当前恶意代码检测技术存在的主要问题

2.4 恶意代码检测技术的发展趋势

2.5 小结

第三章基于主机异常行为的分布式恶意代码检测模型

3.1 已有的恶意代码检测框架

3.1.1 基于主机的恶意代码检测框架

3.1.2 基于网络的恶意代码检测框架

3.2 基于主机异常行为的分布式恶意代码检测模型

3.2.1 设计目的及依据

3.2.2 基于主机异常行为的分布式恶意代码检测网络

3.2.3 基于主机异常行为的分布式恶意代码检测模型

3.2.4 功能模块

3.3 小结

第四章基于主机异常行为的分布式恶意代码检测算法

4.1 恶意代码行为概述

4.2 分布式恶意代码检测算法

4.2.1 恶意代码主机行为

4.2.2 恶意代码网络行为

4.2.3 分布式恶意代码检测算法

4.3 分布式恶意代码检测算法流程

4.4 传播路径重构

4.5 性能初步分析

4.5.1 漏报率分析

4.5.2 误报率分析

4.6 小结

第五章检测模型的仿真与结果分析

5.1 NS-2 简介

5.1.1 事件驱动离散时间模拟器

5.1.2 丰富的构件库

5.1.3 分裂对象模型

5.2 基于主机异常行为的分布式恶意代码检测算法代码实现

5.2.1 符号说明

5.2.2 信息类型

5.2.3 传播路径重构

5.3 仿真实验与结果分析

5.3.1 实验数据

5.3.2 传播路径重构

5.3.3 结果分析

5.4 小结

第六章结束语

6.1 论文总结

6.2 下一步工作

致谢

参考文献

作者在学期间取得的学术成果

基于主机异常行为的分布式恶意代码检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢